AWS
Ikke autorisert til å utføre: sts:AssumeRole
Bruker: arn:aws:sts::xxxxx:assumed-role/EnterpriseKeyManagement/OpenAI-EKM-Service er ikke autorisert til å utføre: sts:AssumeRole på ressurs: arn:aws:iam::xxxxx:role/xxxxxxKontroller principal og ExternalId i tillitspolicyen din
Sørg for at du har fulgt denne delen av dokumentasjonen, inkludert BÅDE å angi OpenAIs principal og å konfigurere en sts:ExternalId
Hvis du allerede har lagt inn en sts:ExternalId, må du kontrollere at den er den samme OpenAI-organisasjons-ID-en som du bruker EKM på, og ikke en annen organisasjon, for eksempel en personlig organisasjon.
Kontroller at tillitspolicyen er knyttet til rolle-ARN-et
Kontroller at tillitspolicyen er lagret riktig på rolle-ARN-et du har oppgitt
Kontroller også at du har oppgitt riktig rolle-ARN. Hvis ARN-et ditt er feilstavet og ikke finnes, får vi den samme feilen som når rollen finnes, men nekter tillatelser.
Ikke autorisert til å utføre: kms:Encrypt på ressurs
Bruker: xxxxx er ikke autorisert til å utføre: kms:Encrypt på ressursSørg for at IAM-policyen din gir kms:Encrypt og kms:Decrypt til OpenAIs rolle.
Hvis du også har lagt til en nøkkelpolicy, må du sørge for at den også gir kms:Encrypt og kms:Decrypt til OpenAIs rolle.
GCP
Kunne ikke hente GCP STS-token for målgruppen
Kunne ikke hente GCP STS-token for målgruppen //iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx: {'error': 'invalid_request', 'error_description': 'Ugyldig verdi for \"audience\". Denne verdien må være det fullstendige ressursnavnet til identitetsleverandøren. Se https://cloud.google.com/iam/docs/reference/sts/rest/v1/TopLevel/token for listen over mulige formater.GCP forventer en målgruppe med formatet
iam.googleapis.com/projects/xxxxxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxxxx
Sørg for at du har oppgitt riktige parametere når du registrerer nøkkelen hos OpenAI ved hjelp av Eksterne nøkler i Management API
Kontroller at workload_identity_project_number er det 12-sifrede GCP-prosjektnummeret ditt
Kontroller at workload_identity_pool_id er riktig
Kontroller at workload_identity_provider_id er riktig
Målgruppen i ID-tokenet samsvarer ikke med forventet målgruppe
Kunne ikke hente GCP STS-token for målgruppen //iam.googleapis.com/projects/xxxxxx/locations/global/workloadIdentityPools/xxxxxxx/providers/xxxxxxxx: {'error': 'invalid_grant', 'error_description': 'Målgruppen i ID-tokenet [xxxxx] samsvarer ikke med forventet målgruppe xxxxxxx.'}Sørg for at feltet audience du oppgir når du registrerer konfigurasjonen hos OpenAI (Eksterne nøkler i Management API ), er en av de tillatte målgruppene for workload identity-leverandøren din. Vi anbefaler å bruke OpenAI-organisasjons-ID-en din.
Azure
Klientprogrammet mangler tjenestekontohaver
Klientprogrammet xxxxx mangler tjenestekontohaver i leietakeren xxxxx. Se instruksjonene her: https://go.microsoft.com/fwlink/?linkid=2225119Sørg for at du har fulgt fremgangsmåten for å opprette tjenestekontohaveren nøyaktig slik det er beskrevet i instruksjonene for OpenAI/Azure EKM-integrasjon.
Anroperen er ikke autorisert til å utføre handlingen på ressursen
Anroperen er ikke autorisert til å utføre handlingen på ressursen. Hvis rolletilordninger, nekt-tilordninger eller rolledefinisjoner nylig er endret, må du ta høyde for propagasjonstid.Den samme feilen kan oppstå av flere grunner
Du oppga feil nøkkelnavn eller URI for hvelvet, eller en som ikke finnes
Du opprettet ikke en rolle med disse datahandlingene OG tilordnet ikke rollen til OpenAIs tjenestekontohaver
Microsoft.KeyVault/vaults/keys/encrypt/action
Microsoft.KeyVault/vaults/keys/decrypt/action
Nøkkelnavnet samsvarer ikke med mønsteret
"Ugyldig 'key_name': strengen samsvarer ikke med mønsteret. Forventet en streng som samsvarer med mønsteret '^org-[0-9a-zA-Z-]*--[0-9a-zA-Z-]*$'."Sett OpenAI-organisasjons-ID-en din som prefiks for Key Vault-nøkkelnavnet.
Dette er anbefalt sikkerhetspraksis for å hindre at Key Vault-nøkkelen din registreres av en annen bruker. Vi validerer at organisasjons-ID-en samsvarer ved nøkkelregistrering og ved hver forespørsel til nøkkelhvelvet ditt.